2017/01/18 投稿日付を変更しました。
先日、DerbyConに参加してきましたのでその参加報告を。
DerbyConとは?
DerbyConとは、ダービー(競馬)で有名なケンタッキー州ルイビルで行われるカンファレンスです。今回6回目と歴史は浅いですが、米国のセキュリティ専門家の多くが参加を勧めるカンファレンスで、話題となる多数このカンファレンスで発表されていたりします。
内容とするとDEF CONやH.O.P.E(Hacker On the Planet Earth)に近いと思いますが、チケット制で入場制限が行われているため、DEF CONなどに比べるとかなり快適なカンファレンスです。評判と快適さもあってかチケットは12時間以内に完売します。日程は、2日間のトレーニングコース+3日間のカンファレンスという流れで、両方あわせても$1,000ドルというBlack Hatなどに比べると安価な値段設定になっています。
全他の感想とすると、非常に質が高いカンファレンスで参加した価値がありました。薗特徴として、以下の3点を挙げたいと思います。
特徴1:多数の著名な講演者
PowerShellの開発者であるLee Holmes氏、Empire・PowerSploitのツール作成者など多くの著名人が講演をして、ツールの最新動向などについて講演をしていました。また、ソーシャル・エンジニアリングで有名なChristopher Hadnagy氏も講演をしていました。
特徴2:PowerShell・Red Team・Blue Team
DerbyConのスケジュールを見ていると、Red Team系・Blue Team系に焦点が置かれているスピーチが多数行われていました。また、PowerShellに関する講演も多数あり、Red Team・Blue Team問わず、PowerShellを使うトレンドにあることがわかります。
トレーニング:Penetration Test with PowerShell
2日間のトレーニングで、PowerShellによるペネトレーション・テストのコースを受講してきました。コースは、8時から18時まで集中して行われており、PowerShellの各種ツール(Empire・PowerSploit・Nishang・NaishodeNusumu)について使い方などの講義が行われていました。
PowerShellが一番良く使われるのは、Post Exploitatiionフェーズですが、それ以外のフェーズ(Reconフェーズ)に関するツールも紹介がされていました。但し、例えばポートスキャン機能などはやはりNmapに勝る要素はなく、やはり現時点ではPost Exploitationフェーズに特化すべきツール群だと思われます。但し、Windows Officeなどと親和性は高いことから、レポートを自動生成するなど発展の余地は色々あると思います。
また、講演でもよく言われますが、PowerShellはMetasploitの代替にはならないということを実感できました。やはり、この点はうまく使い分けて行く必要があると考えられます。
いくつかの講演をピックアップ
いつもの通り、いくつか講演をピックアップしたいと思います。なお、全ての講演の様子はこのビデオから見ることができますので、気になる講演があったら見ることをお勧めします。
www.irongeek.com
Thinking Perple
パープルチームをどのように運営していくか試行錯誤した講演でした。RED・BLUEの役割を定義や運用における経験談・注意点は非常に勉強になる内容です。Red Team・Blue Teamを作ることを考えている人は使ってみても良いかも知れません。
To Catch a Penetration Tester: Top SIEM Use Cases
SIEMでもっとも攻撃者を捕まえるシグニチャについて有識者へのアンケートや独自に研究を行い、その中でも有益な基準TOP10を発表した発表でした。個人的には、現状Blue Teamの経験が多いので、非常に参考になる内容でした。以下に、彼らが発表した内容を示します。(資料)
- 信頼の低いサイトに対する企業アカウントを使った認証
- (ベースラインと比較して)不審なサーバへのインターネット通信
- パスワード・スプレー攻撃(Password Spraying)(踏み台攻撃)
- サーバで検知されたマルウェア
- Windows端末間の通信
- ローカルグループ・ドメイン管理者グループにユーザが追加される
- 許可されていないサービスアカウントによるサーバへのログイン
- Windowsへの新しいサービスの作成・登録
- サービスアカウントによるサービス・アカウントにふさわしくないアクション
- 閾値を超えたネットワーク通信・データのアップロード
考えてみると当たり前のことばかりですが、その基本的な部分により防げる部分も多いと考えられます。もし、SIEMやEDRなどの検知ロジックを管理されている方がいたら、資料とともに参考にされることをお勧めします。
Phishing without Failure and Frustration
標的型メール攻撃サービスの注意事項や失敗談を共有した発表でした。米国における標的型攻撃系サービスの温度感や、サービス提供者あるあるが多いので、標的型サービスの提供をやっている方は見ることをお勧めします。(調べてみると、今年のDEF CONでも同じ発表が行われているようなので、既に見たことがある人もいるかも知れません。)
特に、前にも書きましたが米国のこの手のフィッシング系テストはかなり本格的で本当に本番差ながらの内容をやります。講演ではRed Team PhishingとPenetration Team Phishingという分類が出てくるのですが、この手の議論も米国のレベル感を知る上で非常に有益でした。
講演の後いくつか質問をしましたが、成熟度ごとにやはりレベルは相当異なるようで、(名前は教えてくれませんでしたが)某有名企業などではどんな攻撃をしてもよいという条件で契約をして実施をしているようでその例たるや非常に興味ぶかいもの場仮でした。
www.scientia-security.org
New Shiny in Metasploit Framework
Rapid7の中にいる人の講演で、Metasploitに関するアップデートのプレゼンテーションでした。内容自体は直接見たほうが良いですが、こちらにきてからShellCodeのEncoder(?)として名前を聞くShikata-Ga-Nai(仕方がない)が、Zutto_Dekiru(ずっとできる)という名前でx64にも対応したりなどと着々とペネトレーション用に進化している様子がわかりました。
(個人的には、32ビット向けのときは後ろ向きだったネーミングが64ビット対応になって非常にポジティブ試行になっているほうが気になりますが...)
PowerShell関連の講演
今回PowerShell系の講義をうけたこともあり、PowerShellの講演も多数聞きましたが、面白いものが非常にありました。特に、以下の講演はビデオで見ることをお勧めします。
- A Year in the Empire
- PowerShell Secrets and Tactics
- Attacking EvilCorp: Anatomy of a Corporate Hack
- Introducing DeepBlueCLI, a PowerShell module for hunt teaming via Windows event logs
- Introducing PowerShell into your Arsenal with PS>Attack
- Invoke-Obfuscation: PowerShell obFUsk8tion Techniques
その他
直接聞けていないですが、以下の講演はよく人に見ることを進められるのでメモ。
- Writing malware while the blue team is staring at you
- Top 10 2015-2016 compromise patterns observed & how to use non-traditional Internet datasets to detect & avoid them
- Hunting for Exploit Kits
- Next Gen Web Pen Testing: Handling modern applications in a penetration test
- Penetration Testing Trends
- No Easy Breach Challenges and Lessons from an Epic Investigation
まとめ
DerbyConについて少しまとめてみましたが、ことしDEF CONとDerbyCon両方に参加した立場としては、講演の質と快適さを踏まえDerbyConに軍配があがると考えています。DEF CONだけでなく、DerbyConにもこれから着目していくべきだと参加して思いました。
